BMoro's Blog

Asus si Intel au initiat un parteneriat pentru a construi un calculator de vis folosind ideile comunitatii. Oricine poate sa impartaseasca ideile sau sugestiile despre cum sa arate sau ce facilitati sa ofere “Dream PC” aici. Deviza aleasa este: “You Dream It, ASUS Builds It, Intel Inside It”. Oare va aparea o initiativa asemanatoare si de la AMD?

HP are in plan sa aduca pe noua generatie de calculatoare de birou (DC7900) o functie speciala, numita “browser virtual”. Este vorba de rezultatul cooperarii intre HP, Symantec si Mozilla Foundation si reprezinta un browser Firefox care va rula intr-un mediu virtualizat ce va putea fi resetat foarte usor la configuratia initiala in cazul unor probleme de securitate.

Mediul virtual este furnizat de Symantec Altiris SVS (Software Virtualization Solution) si are avantajul de a grupa aplicatiile si partea de date aferente acestora in blocuri numite VSP (Virtual Software Packages). Aplicatiile ce ruleaza in acest tip de mediu virtualizat sunt aplicatii native Windows, dar toate actiunile de acces la fisiere si registry sunt blocate in interiorul acestui mediu astfel incat pot fi restaurate la o stare originala sau la un snapshot de la un moment anterior sau pot fi chiar transferate pe o alta instanta de Windows.

Detalii suplimentare aici.

In cadrul premiilor pentru 2008 ale “Popular Mechanics Breakthrough”, Microsoft Photosynth a fost nominalizat pentru “Top 10 Most Brilliant Gadgets of the Year”.

Photosynth analizeaza fiecare fotografie pentru a gasi partile comune cu celelalte si foloseste aceste informatii in a construi un model tridimensional al zonei in care au fost facute. Spre exemplu, folosind o serie de fotografii disparate ale unei galerii de arta sau ale unui parc, cu ajutorul Photosynth, o poti transforma intr-o experienta mult mai aproape de realitate.

L-am testat si am fost placut impresionat, nu cred ca este exagerat a spune ca Photosynth va schimba modul in care vom face fotografii de acum incolo.

Ca si instalare se instaleaza o aplicatie pe calculatorul personal, dar galeriile vor fi uploadat-e pe site-ul photosynth.net, pentru care veti avea nevoie de un cont Live si, recomandabil, de o conexiune mai “zdravana” la Internet.

Acum cateva zile a fost publicat raportul CSI (Computer Security Institute) pentru anul 2008 asupra securitatii si infractiunilor din domeniul informatic.

Cateva statistici importante:

• Media pierderilor anuale datorate unor incidente de securitate a fost in jur de 300.000 USD; a doua ca si valoare in top (350.000 USD) fiind datorata unei retele interne de boti.
• Cele mai multe incidente se datoreaza virusilor, aproape jumatate (49%) dintre cei care au participat la sondaj fiind afectati. O schimbare notabila apare in procentul incidentelor produse de persoane din interiorul companiei: 44%, in scadere de la 59% in 2007.
• Atacurile directionate – atac de tip malware la adresa unor aumite companii, au afectat 27% din cei care au raspuns chestionarului CSI. Acest tip de atacuri si-au facut aparitia in ultimii doi-trei ani.
• 68% din companii au o politica de securitate a informatiei, 18% sunt in procesul de dezvoltare a acesteia, doar 1% nu au o politica de securitate a informatiei.

De notat ca participantii la sondaj sunt persoane din comunitatea CSI sau apropiate acestei comunitati.

O cerinta intalnita in multe medii moderne este SSO (Single Sign-On). SSO ofera utilizatorilor posibilitatea sa se logheze o singura data si sa acceseze resursele disponibile pe orice sistem; in acest caz avantajul este sa se poata loga pe orice sistem (Windows, Unix sau Linux) folosind conturile stocate intr-un spatiu unic, centralizat, adica intr-un serviciu de directory (spre exemplu Active Directory).

Voi prezenta pe scurt trei solutii pentru aceasta cerinta:

1. Autentificare Kerberos, autorizare NIS;
2. Autentificare Kerberos, autorizare Samba;
3. Autentificare Kerberos, autorizare LDAP.

La Windows Server 2003 R2 si 2008 Microsoft a extins schema AD in asa fel incat sa poata fi stocate informatii suplimentare pentru utilizatorii si grupurile Unix, informatii necesare pentru implementarea oricareia din cele trei solutii care vor fi prezentate.

Ce este Kerberos? Foarte pe scurt, Kerberos este un serviciu de autentificare, adica verifica identitatea utilizatorului. Kerberos face aceasta verificare fara a trimite la vreun moment dat parola utilizatorului in clar sau chiar criptata.

1. Autorizarea prin intermediul NIS
NIS - Network Information Service - este o solutie de autorizare centralizata pentru sistemele Unix/Linux. Suportul pentru NIS este inclus in Windows Server 2008, Windows Server 2003 R2, iar in versiunile anterioare este disponibil prin intermediul Microsoft Windows Services for Unix. De fapt serviciul "Server for NIS" este o emulare care ofera sistemelor Unix aceleasi servicii ca si un NIS pe Unix. Exista si posibilitatea de a migra baza de conturi dintr-un NIS existent in AD sau pastrarea serviciului NIS "Unix-based", dar folosind sincronizarea parolelor intre (Unix) NIS si AD.

2. Autorizarea prin intermediul Samba
In primul rand ce este Samba? Samba este o suita open source prin intermediul careia se pot furniza servicii de fisiere si imprimante partajate catre clienti folosind protocoalele SMB/CIFS. SMB si CIFS sunt protocoale la nivelul aplicatie folosite in special in retelele Windows.
Pentru aceasta solutie pe sistemele Unix/Linux trebuie instalat si configurat pachetul Samba. Samba interogheaza Active Directory pentru informatiile legate de conturi prin intermediul winbind.

3. Autorizarea prin intermediul LDAP
In acest caz informatiile legate de utilizatori/grupuri sunt extrase din Active Directory folosind protocolul LDAP.

Fiecare din cele trei solutii necesita configurari suplimentare, in special pe sistemele Unix/Linux, detaliile acestor configurari necesitand un spatiu destul de amplu. Voi face totusi cateva precizari importante:

• Asigurati-va ca un server DC din reteaua locala este folosit ca si server de nume (DNS) pe sistemele Unix/Linux, de asemeni verificati ca functioneaza rezolvarea numelor;
• Pe sistemele Unix/Linux activati clientul NTP (Network Time Protocol) si configurati-l sa foloseasca serverul DC (amintit mai sus) ca si sursa. Pentru functionarea corecta a autentificarii Kerberos este esential ca ceasurile sistemelor sa fie sincronizate cu cel al domain controller-ului;
• Pentru a beneficia de stocare centralizata a home folder-elor utilizatorilor in toate cele trei cazuri de mai sus se poate folosi Samba sau NFS, cu precizarea ca, in cazul NFS, trebuie adaugata componenta Microsoft Services for NFS pe serverul/serverele Windows.